第3章 IPSec基本理論

3.1 基本原理介紹

IPSec 是一項標準的安全技術(shù)，它通過在數(shù)據(jù)包中插入一個預(yù)定義頭部的方式，來保障OSI上層協(xié)議數(shù)據(jù)的安全。IPSec主要用于保護網(wǎng)絡(luò)層（IP）數(shù)據(jù)，因此它提供了網(wǎng)絡(luò)層的安全性。

圖3-1所示為IPSec封裝的示意圖。

圖3-1 IPSec封裝示意圖

圖3-1上半部分所示是一個普通的IP數(shù)據(jù)包，下半部分所示是被IPSec加密后的數(shù)據(jù)包格式。不難看出IPSec技術(shù)在原始IP頭部和IP負載之間插入了一個IPSec頭部，這樣可以對原始的IP負載實現(xiàn)加密，同時還可以實現(xiàn)對IPSec頭部和原始IP負載的驗證，以確保數(shù)據(jù)的完整性。

與我們在前一章中介紹的GRE技術(shù)相比，IPSec技術(shù)可以提供更多的安全特性，它對VPN流量提供了如下3個方面的保護。

私密性（Confidentiality）：數(shù)據(jù)私密性也就是對數(shù)據(jù)進行加密。這樣一來，即使第三方能夠捕獲加密后的數(shù)據(jù)，也不能將其恢復(fù)成明文。

完整性（Integrity）：完整性確保數(shù)據(jù)在傳輸過程中沒有被第三方篡改。

源認證（Authenticity）：源認證也就是對發(fā)送數(shù)據(jù)包的源進行認證，確保是合法的源發(fā)送了此數(shù)據(jù)包。